Documentación de productos
Citrix Virtual Apps and Desktops
Service Current Release 2311 2308 2305 2303 2212 2209 2206 2203 LTSR 1912 LTSR
Ver PDF

Conexión con Microsoft Azure

January 30, 2024
Contribución de: 
C

Crear y administrar conexiones y recursos describe los asistentes que crean una conexión. La siguiente información incluye detalles específicos de los entornos de nube de Azure Resource Manager.

Nota:

Antes de crear una conexión con Microsoft Azure, debe terminar de configurar su cuenta de Azure como ubicación de recursos. Consulte Entornos en la nube de Microsoft Azure Resource Manager

Crear conexiones y entidades principales de servicio

Antes de crear conexiones, debe configurar entidades principales de servicio que las conexiones utilizan para acceder a recursos de Azure. Puede crear una conexión de dos maneras:

  • Crear una entidad principal de servicio y una conexión juntos mediante Web Studio
  • Crear una conexión mediante una entidad principal de servicio creada previamente

En esta sección se muestra cómo completar estas tareas:

Consideraciones

  • Citrix recomienda usar la entidad de servicio con rol de colaborador. Sin embargo, consulte la sección Permisos mínimos para obtener la lista de permisos mínimos correspondientes.
  • Al crear la primera conexión, Azure pide conceder a ese rol los permisos necesarios. Para conexiones futuras, aún deberá autenticarse, pero Azure recuerda su consentimiento anterior y no vuelve a mostrar la solicitud.
  • Las cuentas utilizadas para la autenticación deben ser de un coadministrador de la suscripción.
  • La cuenta utilizada para la autenticación debe ser un miembro del directorio de suscripción. Hay dos tipos de cuentas que tener en cuenta: “cuenta profesional o educativa” y “cuenta personal de Microsoft” Para más información, consulte CTX219211.

  • Puede usar una cuenta existente de Microsoft si la agrega como miembro del directorio de suscripción. Sin embargo, puede haber complicaciones si el usuario antes tenía acceso como invitado a uno de los recursos del directorio. En ese caso, puede tener una entrada de marcador de posición en el directorio que no le concederá los permisos necesarios, y se producirá un error.

    Rectifíquelo eliminando los recursos del directorio y agregándolos de nuevo explícitamente. Sin embargo, use esta opción con cuidado, ya que tiene efectos no deseados para otros recursos a los que pueda acceder la cuenta.

  • Hay un problema conocido que consiste en que algunas cuentas se detectan como invitados del directorio cuando en realidad son miembros. Por regla general, configuraciones como esta se producen con las cuentas de directorio antiguas establecidas. Solución temporal: Agregue una cuenta al directorio, con el valor correcto de membresía.
  • Los grupos de recursos son simplemente contenedores de recursos, y pueden contener recursos de regiones distintas a su propia región. Eso puede ser confuso si cree que los recursos que se muestran en la región de un grupo de recursos están disponibles.
  • Su red y subred deben ser lo suficientemente grandes como para alojar la cantidad de máquinas que necesita. Eso requiere previsión, pero Microsoft le ayuda a especificar los valores correctos, con orientación sobre la capacidad del espacio de direcciones.

Crear una entidad principal de servicio y una conexión con Web Studio

Importante:

Esta función aún no está disponible para las suscripciones de Azure China.

Con Web Studio, puede crear una entidad principal de servicio y una conexión en un único flujo de trabajo. Las entidades principales de servicio permiten a las conexiones acceder a recursos de Azure. Al autenticarse en Azure para crear una entidad principal de servicio, se registra una aplicación en Azure. Se crea una clave secreta (denominada secreto de cliente o secreto de aplicación) para la aplicación registrada. La aplicación registrada (una conexión en este caso) usa el secreto de cliente para autenticarse en Azure AD.

Antes de empezar, asegúrese de cumplir estos requisitos previos:

  • Tiene una cuenta de usuario en el arrendatario de su suscripción de Azure Active Directory.
  • Con la cuenta de usuario de Azure AD, también se coadministra la suscripción de Azure que quiera usar para aprovisionar recursos.
  • Tiene permisos de administrador global, administrador de aplicaciones o desarrollador de aplicaciones para la autenticación. Estos permisos se pueden revocar después de crear una conexión de host. Para obtener más información sobre los roles, consulte Roles integrados de Azure AD.

Utilice el asistente Agregar conexiones y recursos para crear una entidad principal de servicio y una conexión juntos:

  1. En la página Conexión, seleccione Crear una conexión, el tipo de conexión Microsoft Azure y su entorno de Azure.

  2. Seleccione las herramientas a utilizar para crear las máquinas virtuales y, a continuación, seleccione Siguiente.

  3. En la página Detalles de conexión, escriba su ID de suscripción de Azure y un nombre para la conexión. Después de introducir el ID de suscripción, se habilita el botón Crear.

    Nota:

    El nombre de la conexión puede contener de 1 a 64 caracteres, y no puede contener solo espacios en blanco ni los caracteres \/;:#.*?=<>|[]{}"'()'.

  4. Seleccione Crear e introduzca el nombre de usuario y la contraseña de la cuenta de Azure Active Directory.

  5. Seleccione Iniciar sesión.

  6. Seleccione Aceptar para conceder a Citrix Virtual Apps and Desktops los permisos mostrados. Citrix Virtual Apps and Desktops crea una entidad de servicio que le permite administrar los recursos de Azure en nombre del usuario especificado.

  7. Después de seleccionar Aceptar, volverá a la página Conexión del asistente.

    Nota:

    Después de autenticarse correctamente en Azure, desaparecen los botones Crear y Usar existente. Aparece el texto Conexión correcta, con una marca de verificación verde que indica la conexión correcta a su suscripción de Azure.

  8. En la página Detalles de conexión, seleccione Siguiente.

    Nota:

    No puede pasar a la página siguiente hasta que se haya autenticado correctamente en Azure y haya dado su consentimiento para otorgar los permisos necesarios.

  9. Configure recursos para la conexión. Los recursos constituyen la región y la red.

    • En la página Región, seleccione una región.
    • En la página Red, haga lo siguiente:
      • Escriba un nombre de recurso de 1 a 64 caracteres para identificar más fácilmente la combinación de región y red. El nombre de un recurso no puede contener solo espacios en blanco ni los caracteres \/;:#.*?=<>|[]{}"'()'.
      • Seleccione un par de red virtual y grupo de recursos (si tiene más de una red virtual con el mismo nombre, emparejar un nombre de red con un grupo de recursos ofrece combinaciones únicas). Si en la página anterior seleccionó una región que no tiene redes virtuales, vuelva a esa página y seleccione una región que las tenga.

  10. En la página Resumen, verá un resumen de los parámetros. Seleccione Finalizar para completar la configuración.

Ver el ID de la aplicación

Después de crear una conexión, puede ver el ID de aplicación que la conexión usa para acceder a los recursos de Azure.

En la lista Agregar conexión y recursos, seleccione la conexión para ver los detalles. La ficha Detalles muestra el ID de la aplicación.

Crear una entidad principal de servicio con PowerShell

Para crear una entidad principal de servicio con PowerShell, conéctese a su suscripción de Azure Resource Manager y use los siguientes cmdlets de PowerShell que se proporcionan en las siguientes secciones.

Asegúrese de tener preparados estos elementos:

  • SubscriptionId: SubscriptionID de Azure Resource Manager perteneciente a la suscripción donde quiere aprovisionar los agentes VDA.
  • ActiveDirectoryID: ID de arrendatario de la aplicación que registró en Azure AD.
  • ApplicationName: Nombre de la aplicación que se va a crear en Azure AD.

Estos son los pasos detallados:

Conéctese a su suscripción de Azure Resource Manager.

`Connect-AzAccount`

  1. Seleccione la suscripción de Azure Resource Manager donde crear la entidad principal de servicio.

    Get-AzSubscription -SubscriptionId $subscriptionId | Select-AzSubscription

  2. Cree la aplicación en su arrendatario de AD.

    $AzureADApplication = New-AzADApplication -DisplayName $ApplicationName

  3. Cree una entidad principal de servicio.

    New-AzADServicePrincipal -ApplicationId $AzureADApplication.AppId

  4. Asigne un rol a la entidad principal de servicio.

    New-AzRoleAssignment -RoleDefinitionName Contributor -ServicePrincipalName $AzureADApplication.AppId –scope /subscriptions/$SubscriptionId

  5. En la ventana de resultados de la consola de PowerShell, anote el ID de aplicación (ApplicationId). Debe proporcionar ese ID cuando cree la conexión de host.

Obtener el secreto de la aplicación en Azure

Para crear una conexión mediante una entidad principal de servicio existente, primero debe obtener el ID de la aplicación y el secreto de la entidad principal del servicio en Azure Portal.

Estos son los pasos detallados:

  1. Obtenga el ID de aplicación en Web Studio o mediante PowerShell.
  2. Inicie sesión en Azure Portal.
  3. En Azure, seleccione Azure Active Directory.
  4. En Registros de aplicaciones, en Azure AD, seleccione su aplicación.
  5. Vaya a Certificados y secretos.
  6. Haga clic en Secretos del cliente.

Crear una conexión mediante una entidad principal de servicio existente

Si ya tiene una entidad principal de servicio, puede usarla para crear una conexión mediante Web Studio.

Asegúrese de tener estos elementos listos:

  • SubscriptionId
  • ActiveDirectoryID (ID de arrendatario).
  • ID de aplicación

  • Secreto de la aplicación

    Para obtener más información, consulte Obtener el secreto de la aplicación.

  • Fecha de caducidad del secreto

Estos son los pasos detallados:

En el asistente Agregar conexión y recursos:

  1. En la página Conexión, seleccione Crear una conexión, el tipo de conexión Microsoft Azure y su entorno de Azure.

  2. Seleccione las herramientas a utilizar para crear las máquinas virtuales y, a continuación, seleccione Siguiente.

  3. En la página Detalles de conexión, escriba su ID de suscripción de Azure y un nombre para la conexión.

    Nota:

    El nombre de la conexión puede contener de 1 a 64 caracteres, y no puede contener solo espacios en blanco ni los caracteres \/;:#.*?=<>|[]{}"'()'.

  4. Seleccione Usar existente. En la ventana Detalles de entidad principal de servicio existente, introduzca estos parámetros para la entidad principal de servicio existente. Después de introducir la información, se habilitará el botón Guardar. Seleccione Guardar. No puede avanzar más allá de esta página hasta que haya proporcionado detalles válidos.

    • ID de suscripción. Introduzca el ID de su suscripción de Azure. Para obtener su ID de suscripción, inicie sesión en Azure Portal y vaya a Suscripciones > Vista general.
    • ID de Active Directory (ID de arrendatario). Escriba el ID del directorio (arrendatario) de la aplicación con la que se registró en Azure AD.
    • ID de la aplicación. Escriba el ID de la aplicación (cliente) con la que se registró en Azure AD.
    • Secreto de la aplicación. Cree una clave secreta (secreto de cliente). La aplicación registrada utiliza la clave para autenticarse en Azure AD. Le recomendamos cambiar las claves con frecuencia por motivos de seguridad. Asegúrese de guardar la clave porque no podrá recuperarla más tarde.

    • Fecha de caducidad del secreto. Introduzca la fecha en la cual caduca el secreto de la aplicación. Recibirá una alerta en la consola antes de que caduque la clave secreta. Sin embargo, si la clave secreta caduca, recibirá errores.

      Nota:

      Por motivos de seguridad, el período de caducidad no puede ser superior a dos años a partir de ahora.

    • URL de autenticación. Este campo se rellena automáticamente y no se puede modificar.
    • URL de administración. Este campo se rellena automáticamente y no se puede modificar.

    • Sufijo de almacenamiento. Este campo se rellena automáticamente y no se puede modificar.

      Se requiere acceso a los siguientes dispositivos de punto final para crear un catálogo de MCS en Azure. El acceso a estos dispositivos de punto final optimiza la conectividad entre la red local y Azure Portal y sus servicios.

  5. Tras seleccionar Guardar, volverá a la página Detalles de conexión. Seleccione Siguiente para pasar a la siguiente página.

  6. Configure recursos para la conexión. Los recursos constituyen la región y la red.

    • En la página Región, seleccione una región.
    • En la página Red, haga lo siguiente:
      • Escriba un nombre de recurso de 1 a 64 caracteres para identificar más fácilmente la combinación de región y red. El nombre de un recurso no puede contener solo espacios en blanco ni los caracteres \/;:#.*?=<>|[]{}"'()'.
      • Seleccione un par de red virtual y grupo de recursos (si tiene más de una red virtual con el mismo nombre, emparejar un nombre de red con un grupo de recursos ofrece combinaciones únicas). Si en la página anterior seleccionó una región que no tiene redes virtuales, vuelva a esa página y seleccione una región que las tenga.

  7. En la página Resumen, verá un resumen de los parámetros. Seleccione Finalizar para completar la configuración.

Administrar entidades principales de servicio y conexiones

En esta sección se detalla cómo puede administrar entidades principales de servicio y conexiones:

Configurar parámetros de limitación de Azure

Azure Resource Manager limita las solicitudes de suscripciones y arrendatarios mediante la redirección del tráfico en función de límites definidos y adaptada a las necesidades específicas del proveedor. Consulte Limitación de solicitudes de Resource Manager en el sitio de Microsoft para obtener más información. Existen límites para las suscripciones y los arrendatarios, donde administrar muchas máquinas podría resultar problemático. Por ejemplo: es posible que una suscripción que contenga muchas máquinas sufra problemas de rendimiento relacionados con las operaciones de energía.

Consejo:

Para obtener más información, consulte Mejora del rendimiento de Azure con Machine Creation Services.

Para ayudar a mitigar estos problemas, puede quitar la limitación interna de MCS para usar más cuota de solicitudes disponible de Azure.

Le recomendamos la siguiente configuración óptima al encender o apagar máquinas virtuales en suscripciones grandes, como, por ejemplo, aquellas que contengan 1000 máquinas virtuales:

  • Operaciones simultáneas absolutas: 500
  • Máximo de nuevas operaciones por minuto: 2000
  • Máximo de operaciones simultáneas: 500

Use Web Studio en la configuración de operaciones de Azure para una conexión de Azure determinada:

  1. En Web Studio, seleccione Alojamiento en el panel de la izquierda.
  2. Seleccione la conexión.
  3. En el asistente Modificar conexión, seleccione Avanzado.
  4. En la página Avanzado, utilice las opciones de configuración para especificar la cantidad de acciones simultáneas y el máximo de acciones nuevas por minuto y las opciones de conexión adicionales.

Limitación de Azure

MCS admite un máximo de 500 operaciones simultáneas de forma predeterminada. De forma alternativa, puede utilizar el SDK de PowerShell remoto para establecer el máximo de operaciones simultáneas.

Utilice la propiedad de PowerShell MaximumConcurrentProvisioningOperations para especificar el máximo de operaciones simultáneas de aprovisionamiento de Azure. Al usar esta propiedad, tenga en cuenta lo siguiente:

  • El valor predeterminado de MaximumConcurrentProvisioningOperations es 500.
  • Configure el parámetro MaximumConcurrentProvisioningOperations mediante el comando Set-item de PowerShell.

Habilitar el uso compartido de imágenes en Azure

Al crear o actualizar catálogos de máquinas, puede seleccionar imágenes compartidas de diferentes suscripciones y arrendatarios de Azure (compartidas a través de Azure Compute Gallery). Para habilitar el uso compartido de imágenes con o entre arrendatarios, debe hacer los ajustes necesarios en Azure:

Compartir imágenes con un arrendatario (entre suscripciones)

Para seleccionar una imagen de Azure Compute Gallery que pertenezca a una suscripción diferente, la imagen debe compartirse con la entidad principal de servicio (SPN) de esa suscripción.

Por ejemplo: si hay una entidad principal de servicio (SPN 1) que está configurada en Studio como:

Entidad principal de servicio: SPN 1

Suscripción: suscripción 1

Arrendatario: arrendatario 1

La imagen está en una suscripción diferente, que está configurada en Studio como:

Suscripción: suscripción 2

Arrendatario: arrendatario 1

Si quiere compartir la imagen de la suscripción 2 con la suscripción 1 (SPN 1), vaya a la suscripción 2 y comparta el grupo de recursos con SPN 1.

La imagen debe compartirse con otro SPN mediante control de acceso por roles (RBAC) de Azure. Azure RBAC es el sistema de autorización que se utiliza para administrar el acceso a los recursos de Azure. Para obtener más información sobre Azure RBAC, consulte el documento de Microsoft What is Azure role-based access control (Azure RBAC). Para conceder acceso, asigne roles a las entidades principales de servicio en el ámbito del grupo de recursos con el rol Colaborador. Para asignar roles de Azure, debe tener el permiso Microsoft.Authorization/roleAssignments/write, como administrador de acceso de usuario o propietario. Para obtener más información sobre cómo compartir imágenes con otro SPN, consulte el documento de Microsoft Assign Azure roles using the Azure portal.

Para obtener información sobre los comandos de PowerShell al seleccionar una imagen de una suscripción diferente, consulte Seleccionar una imagen de una suscripción diferente.

Compartir imágenes entre arrendatarios

Para compartir imágenes entre arrendatarios con Azure Compute Gallery, cree un registro de aplicaciones.

Por ejemplo, si hay dos arrendatarios (arrendatario 1 y arrendatario 2) y quiere compartir su galería de imágenes con el arrendatario 1, entonces:

  1. Cree un registro de aplicaciones para el arrendatario 1. Para obtener más información, consulte Create the app registration.

  2. Permita que el arrendatario 2 acceda a la aplicación mediante una solicitud de inicio de sesión con explorador web. Sustituya Tenant2 ID por el ID del arrendatario 1. Sustituya Application (client) ID por el ID de la aplicación del registro de aplicaciones que creó. Cuando haya terminado con las sustituciones, pegue la URL en un explorador web y siga las instrucciones de inicio de sesión para iniciar sesión en el arrendatario 2. Por ejemplo:

    https://login.microsoftonline.com/<Tenant 2 ID>/oauth2/authorize?client_id=<Application (client) ID>&response_type=code&redirect_uri=https%3A%2F%2Fwww.microsoft.com%2F
<!--NeedCopy-->

    Para obtener más información, consulte Give Tenant 2 access.

  3. Permita a la aplicación acceder al grupo de recursos del arrendatario 2. Inicie sesión como el arrendatario 2 y otorgue acceso al registro de aplicaciones para el grupo de recursos que contiene la imagen de la galería. Para obtener más información, consulte Authenticate requests across tenants.

Para crear un catálogo con una imagen de un arrendatario diferente con comandos de PowerShell:

  1. Actualice las propiedades personalizadas de la conexión de host con identificadores de arrendatarios compartidos.
  2. Seleccione una imagen de otro arrendatario.

Agregar arrendatarios compartidos a una conexión mediante la Configuración completa

Al crear o actualizar catálogos de máquinas en Web Studio, puede seleccionar imágenes compartidas de diferentes suscripciones y arrendatarios de Azure (compartidas a través de Azure Compute Gallery). La función requiere que proporcione información compartida sobre la suscripción y los arrendatarios compartidos para las conexiones de host asociadas.

Nota:

Asegúrese de haber configurado los ajustes necesarios en Azure para permitir el uso compartido de imágenes entre arrendatarios. Para obtener más información, consulte Compartir imágenes entre arrendatarios.

Complete estos pasos para establecer una conexión:

  1. En Web Studio, seleccione Alojamiento en el panel de la izquierda.

  2. Seleccione la conexión y, a continuación, seleccione Modificar conexión en la barra de acciones.

    Arrendatarios compartidos

  3. En Shared Tenants, haga lo siguiente:

    • Proporcione el ID de la aplicación y el secreto de la aplicación asociados a la suscripción de la conexión. Citrix Virtual Apps and Desktops usa esta información para autenticarse en Azure AD.
    • Agregue arrendatarios y suscripciones que compartan Azure Compute Gallery con la suscripción de la conexión. Puede agregar hasta 8 arrendatarios compartidos y 8 suscripciones por cada arrendatario.
  4. Cuando haya terminado, seleccione Aplicar para aplicar los cambios que haya hecho y deje la ventana abierta, o bien seleccione Aceptar para aplicar los cambios y cierre la ventana.

Implementar el uso compartido de imágenes con PowerShell

Esta sección le guiará a través de los procesos para compartir imágenes con PowerShell:

Seleccionar una imagen de una suscripción diferente

Puede seleccionar una imagen en Azure Compute Gallery que pertenezca a una suscripción compartida diferente del mismo arrendatario de Azure para crear y actualizar catálogos de MCS mediante los comandos de PowerShell.

  1. En la carpeta raíz de la unidad de alojamiento, Citrix crea una nueva carpeta de suscripción compartida llamada sharedsubscription.

  2. Enumere todas las suscripciones compartidas de un arrendatario.

    Get-ChildItem -Path "XDhyp:\HostingUnits\azres\sharedsubscription.folder"
<!--NeedCopy-->

  3. Seleccione una suscripción compartida y, a continuación, enumere todos los grupos de recursos compartidos de esa suscripción compartida.

    Get-ChildItem -Path "XDhyp:\HostingUnits\azres\image.folder\abc123.sharedsubscription"
<!--NeedCopy-->

  4. Seleccione un grupo de recursos y, a continuación, enumere todas las galerías de ese grupo de recursos.

    Get-ChildItem -Path "XDhyp:\HostingUnits\azres\image.folder\abc123.sharedsubscription\ xyz.resourcegroup"
<!--NeedCopy-->

  5. Seleccione una galería y, a continuación, enumere todas las definiciones de imágenes de esa galería.

    Get-ChildItem -Path "XDhyp:\HostingUnits\azres\image.folder\abc123.sharedsubscription\xyz.resourcegroup\testgallery.gallery"
<!--NeedCopy-->

  6. Seleccione una definición de imagen y, a continuación, enumere todas las versiones de imagen de esa definición de imagen.

    Get-ChildItem -Path "XDhyp:\HostingUnits\azres\image.folder\abc123.sharedsubscription\xyz.resourcegroup\sigtestdef.imagedefinition"
<!--NeedCopy-->

  7. Cree y actualice un catálogo de MCS con los siguientes elementos:

    • Resource group
    • Galería
    • Definición de imagen de la galería
    • Versión de la imagen de la galería

    Para obtener información sobre cómo crear un catálogo con el SDK de PowerShell remoto, consulte https://developer-docs.citrix.com/projects/citrix-virtual-apps-desktops-sdk/en/latest/creating-a-catalog/.

Actualizar las propiedades personalizadas de la conexión de host con identificadores de arrendatarios compartidos

Use Set-Item para actualizar las propiedades personalizadas de la conexión de host con un ID de arrendatario y un ID de suscripción compartidos. Agregue una propiedad SharedTenants en CustomProperties. El formato de Shared Tenants es:

[{"Tenant":"94367291-119e-457c-bc10-25337231f7bd","Subscriptions":["7bb42f40-8d7f-4230-a920-be2781f6d5d9"]},{"Tenant":"50e83564-c4e5-4209-b43d-815c45659564","Subscriptions":["06ab8944-6a88-47ee-a975-43dd491a37d0"]}]
<!--NeedCopy-->

Por ejemplo:

Set-Item -CustomProperties "<CustomProperties xmlns=`"http://schemas.citrix.com/2014/xd/machinecreation`" xmlns:xsi=`"http://www.w3.org/2001/XMLSchema-instance`">
<Property xsi:type=`"StringProperty`" Name=`"SubscriptionId`" Value=`"123`" />
<Property xsi:type=`"StringProperty`" Name=`"ManagementEndpoint`" Value=`"https://management.azure.com/`" />
<Property xsi:type=`"StringProperty`" Name=`"AuthenticationAuthority`" Value=`"https://login.microsoftonline.com/`" />
<Property xsi:type=`"StringProperty`" Name=`"StorageSuffix`" Value=`"core.windows.net`" />
<Property xsi:type=`"StringProperty`" Name=`"TenantId`" Value=`"123abc`" />
<Property xsi:type=`"StringProperty`" Name=`"SharedTenants`" Value=`"`[ { 'Tenant':'123abc', 'Subscriptions':['345', '567'] } ]`"` />
</CustomProperties>"
-LiteralPath @("XDHyp:\Connections\aazure") -PassThru -UserName "advc345" -SecurePassword
$psd
<!--NeedCopy-->

Nota:

Puede agregar más de un arrendatario. Cada arrendatario puede tener más de una suscripción.

Seleccionar una imagen de otro arrendatario

Puede seleccionar una imagen en Azure Compute Gallery que pertenezca a otro arrendatario de Azure para crear y actualizar catálogos de MCS mediante comandos de PowerShell.

  1. En la carpeta raíz de la unidad de alojamiento, Citrix crea una nueva carpeta de suscripción compartida llamada sharedsubscription.

  2. Enumere todas las suscripciones compartidas.

    Get-ChildItem XDHyp:\HostingUnits\azres\sharedsubscription.folder
<!--NeedCopy-->

  3. Seleccione una suscripción compartida y, a continuación, enumere todos los grupos de recursos compartidos de esa suscripción compartida.

    Get-ChildItem XDHyp:\HostingUnits\azres\image.folder\abc123.sharedsubscription
<!--NeedCopy-->

  4. Seleccione un grupo de recursos y, a continuación, enumere todas las galerías de ese grupo de recursos.

    Get-ChildItem XDHyp:\HostingUnits\azres\image.folder\abc123.sharedsubscription\ xyz.resourcegroup
<!--NeedCopy-->

  5. Seleccione una galería y, a continuación, enumere todas las definiciones de imágenes de esa galería.

    Get-ChildItem XDHyp:\HostingUnits\azres\image.folder\abc123.sharedsubscription\xyz.resourcegroup\efg.gallery
<!--NeedCopy-->

  6. Seleccione una definición de imagen y, a continuación, enumere todas las versiones de imagen de esa definición de imagen.

    Get-ChildItem XDHyp:\HostingUnits\azres\image.folder\abc123.sharedsubscription\xyz.resourcegroup\efg.gallery\hij.imagedefinition
<!--NeedCopy-->

  7. Cree y actualice un catálogo de MCS con los siguientes elementos:

    • Resource group
    • Galería
    • Definición de imagen de la galería
    • Versión de la imagen de la galería

    Para obtener información sobre cómo crear un catálogo con el SDK de PowerShell remoto, consulte https://developer-docs.citrix.com/projects/citrix-virtual-apps-desktops-sdk/en/latest/creating-a-catalog/.

Administrar el secreto de aplicación y la fecha de caducidad del secreto

Asegúrese de cambiar el secreto de aplicación para una conexión antes de que caduque. Recibirá una alerta en Web Studio antes de que caduque la clave secreta.

Crear un secreto de aplicación en Azure

Puede crear un secreto de aplicación para una conexión a través de Azure Portal.

  1. Seleccione Azure Active Directory.
  2. En Registros de aplicaciones, en Azure AD, seleccione su aplicación.
  3. Vaya a Certificados y secretos.
  4. Haga clic en Secretos de cliente > Nuevo secreto de cliente.

  5. Proporcione una descripción del secreto y especifique una duración. Cuando haya terminado, seleccione Agregar.

    Nota:

    Guarde el secreto de cliente porque no podrá recuperarlo más tarde.

  6. Copie el valor del secreto del cliente y la fecha de caducidad.
  7. En la interfaz de Web Studio, modifique la conexión correspondiente y sustituya el contenido de los campos Secreto de la aplicación y Fecha de caducidad del secreto por los valores copiados.

Cambiar la fecha de caducidad del secreto

Puede usar Web Studio para agregar o modificar la fecha de caducidad del secreto de la aplicación en uso.

  1. En el asistente Agregar conexión y recursos, haga clic con el botón secundario en una conexión y haga clic en Modificar conexión.
  2. En la página Propiedades de conexión, haga clic en Fecha de caducidad del secreto para agregar o modificar la fecha de caducidad del secreto de la aplicación en uso.

Permisos de Azure requeridos

Esta sección contiene los permisos mínimos y generales requeridos para Azure.

Permisos mínimos

Los permisos mínimos ofrecen un mejor control de la seguridad. Sin embargo, es posible que las nuevas funciones que requieren permisos adicionales fallen porque solo se usan permisos mínimos.

Crear una conexión de host

Agregue una nueva conexión de host con la información obtenida de Azure.

"Microsoft.Network/virtualNetworks/read",
"Microsoft.Compute/virtualMachines/read",
"Microsoft.Compute/disks/read",
<!--NeedCopy-->

Administración de energía de las máquinas virtuales

Encienda o apague las instancias de máquina.

"Microsoft.Compute/virtualMachines/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Compute/virtualMachines/deallocate/action",
"Microsoft.Compute/virtualMachines/start/action",
"Microsoft.Compute/virtualMachines/restart/action",
<!--NeedCopy-->

Creación, actualización o eliminación de máquinas virtuales

Cree un catálogo de máquinas y, a continuación, agregue, elimine y actualice máquinas, y elimine el catálogo de máquinas.

A continuación, se muestra la lista de permisos mínimos requeridos cuando la imagen maestra es un disco administrado o las instantáneas se encuentran en la misma región que la conexión de host.

"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Resources/deployments/validate/action",
"Microsoft.Compute/virtualMachines/read",
"Microsoft.Compute/virtualMachines/write",
"Microsoft.Compute/virtualMachines/delete",
"Microsoft.Compute/virtualMachines/deallocate/action",
"Microsoft.Compute/snapshots/read",
"Microsoft.Compute/snapshots/write",
"Microsoft.Compute/snapshots/delete",
"Microsoft.Compute/snapshots/beginGetAccess/action",
"Microsoft.Compute/snapshots/endGetAccess/action",
"Microsoft.Compute/disks/read",
"Microsoft.Compute/disks/write",
"Microsoft.Compute/disks/delete",
"Microsoft.Compute/disks/beginGetAccess/action",
"Microsoft.Compute/disks/endGetAccess/action",
"Microsoft.Network/virtualNetworks/read",
"Microsoft.Network/virtualNetworks/subnets/join/action",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/networkSecurityGroups/read",
"Microsoft.Network/networkSecurityGroups/write",
"Microsoft.Network/networkSecurityGroups/delete",
"Microsoft.Network/networkSecurityGroups/join/action",
"Microsoft.Network/networkInterfaces/read",
"Microsoft.Network/networkInterfaces/write",
"Microsoft.Network/networkInterfaces/delete",
"Microsoft.Network/networkInterfaces/join/action",
<!--NeedCopy-->

Necesita los siguientes permisos adicionales, en función de los permisos mínimos, para las siguientes funciones:

  • Si la imagen maestra es un disco duro virtual de una cuenta de almacenamiento ubicada en la misma región que la conexión de host:

     "Microsoft.Storage/storageAccounts/read",
 "Microsoft.Storage/storageAccounts/listKeys/action",
 <!--NeedCopy-->

  • Si la imagen maestra es una versión de imagen de Shared Image Gallery:

     "Microsoft.Compute/galleries/read",
 "Microsoft.Compute/galleries/images/read",
 "Microsoft.Compute/galleries/images/versions/read",
 <!--NeedCopy-->

  • Si la imagen maestra es un disco administrado, las instantáneas o los VHD que se encuentran en una región diferente de la región de la conexión de host:

     "Microsoft.Storage/storageAccounts/read",
 "Microsoft.Storage/storageAccounts/listKeys/action",
 "Microsoft.Storage/storageAccounts/write",
 "Microsoft.Storage/storageAccounts/delete",
 <!--NeedCopy-->

  • Si usa un grupo de recursos administrado por Citrix:

     "Microsoft.Resources/subscriptions/resourceGroups/write",
 "Microsoft.Resources/subscriptions/resourceGroups/delete",
 <!--NeedCopy-->

  • Si coloca la imagen maestra en Shared Image Gallery:

     "Microsoft.Compute/galleries/write",
 "Microsoft.Compute/galleries/images/write",
 "Microsoft.Compute/galleries/images/versions/write",
 "Microsoft.Compute/galleries/read",
 "Microsoft.Compute/galleries/images/read",
 "Microsoft.Compute/galleries/images/versions/read",
 "Microsoft.Compute/galleries/delete",
 "Microsoft.Compute/galleries/images/delete",
 "Microsoft.Compute/galleries/images/versions/delete",
 <!--NeedCopy-->

  • Si usa compatibilidad con hosts dedicados de Azure:

     "Microsoft.Compute/hostGroups/read",
 "Microsoft.Compute/hostGroups/write",
 "Microsoft.Compute/hostGroups/hosts/read",
 <!--NeedCopy-->

  • Si utiliza cifrado del lado del servidor (SSE) con claves administradas por el cliente (CMK):

     "Microsoft.Compute/diskEncryptionSets/read",
 <!--NeedCopy-->

  • Si implementa máquinas virtuales mediante plantillas ARM (perfil de máquina):

     "Microsoft.Resources/deployments/write",
 "Microsoft.Resources/deployments/operationstatuses/read",
 "Microsoft.Resources/deployments/read",
 "Microsoft.Resources/deployments/delete",
 <!--NeedCopy-->

  • Si usa la especificación de plantilla de Azure como perfil de máquina:

     "Microsoft.Resources/templateSpecs/read",
 "Microsoft.Resources/templateSpecs/versions/read",
 <!--NeedCopy-->

Crear, actualizar y eliminar máquinas con discos no administrados

A continuación, se muestra la lista de permisos mínimos requeridos cuando la imagen maestra es un disco duro virtual (VHD) y se utiliza el grupo de recursos proporcionado por el administrador:

"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Storage/storageAccounts/delete",
"Microsoft.Storage/storageAccounts/listKeys/action",
"Microsoft.Storage/storageAccounts/read",
"Microsoft.Storage/storageAccounts/write",
"Microsoft.Compute/virtualMachines/deallocate/action",
"Microsoft.Compute/virtualMachines/delete",
"Microsoft.Compute/virtualMachines/read",
"Microsoft.Compute/virtualMachines/write",
"Microsoft.Resources/deployments/validate/action",
"Microsoft.Network/networkInterfaces/delete",
"Microsoft.Network/networkInterfaces/join/action",
"Microsoft.Network/networkInterfaces/read",
"Microsoft.Network/networkInterfaces/write",
"Microsoft.Network/networkSecurityGroups/delete",
"Microsoft.Network/networkSecurityGroups/join/action",
"Microsoft.Network/networkSecurityGroups/read",
"Microsoft.Network/networkSecurityGroups/write",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/virtualNetworks/read",
"Microsoft.Network/virtualNetworks/subnets/join/action"
<!--NeedCopy-->

Permiso general

El rol de colaborador tiene pleno acceso para administrar todos los recursos. Este conjunto de permisos no le impide obtener nuevas funcionalidades.

El siguiente conjunto de permisos proporciona la mejor compatibilidad de cara al futuro, aunque incluye más permisos de los necesarios con el conjunto de funciones actual:

"Microsoft.Compute/diskEncryptionSets/read",
"Microsoft.Compute/disks/beginGetAccess/action",
"Microsoft.Compute/disks/delete",
"Microsoft.Compute/disks/endGetAccess/action",
"Microsoft.Compute/disks/read",
"Microsoft.Compute/disks/write",
"Microsoft.Compute/galleries/delete",
"Microsoft.Compute/galleries/images/delete",
"Microsoft.Compute/galleries/images/read",
"Microsoft.Compute/galleries/images/versions/delete",
"Microsoft.Compute/galleries/images/versions/read",
"Microsoft.Compute/galleries/images/versions/write",
"Microsoft.Compute/galleries/images/write",
"Microsoft.Compute/galleries/read",
"Microsoft.Compute/galleries/write",
"Microsoft.Compute/hostGroups/hosts/read",
"Microsoft.Compute/hostGroups/read",
"Microsoft.Compute/hostGroups/write",
"Microsoft.Compute/snapshots/beginGetAccess/action",
"Microsoft.Compute/snapshots/delete",
"Microsoft.Compute/snapshots/endGetAccess/action",
"Microsoft.Compute/snapshots/read",
"Microsoft.Compute/snapshots/write",
"Microsoft.Compute/virtualMachines/deallocate/action",
"Microsoft.Compute/virtualMachines/delete",
"Microsoft.Compute/virtualMachines/read",
"Microsoft.Compute/virtualMachines/restart/action",
"Microsoft.Compute/virtualMachines/start/action",
"Microsoft.Compute/virtualMachines/write",
"Microsoft.Network/networkInterfaces/delete",
"Microsoft.Network/networkInterfaces/join/action",
"Microsoft.Network/networkInterfaces/read",
"Microsoft.Network/networkInterfaces/write",
"Microsoft.Network/networkSecurityGroups/delete",
"Microsoft.Network/networkSecurityGroups/join/action",
"Microsoft.Network/networkSecurityGroups/read",
"Microsoft.Network/networkSecurityGroups/write",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/virtualNetworks/read",
"Microsoft.Network/virtualNetworks/subnets/join/action",
"Microsoft.Resources/deployments/operationstatuses/read",
"Microsoft.Resources/deployments/read",
"Microsoft.Resources/deployments/validate/action",
"Microsoft.Resources/deployments/write",
"Microsoft.Resources/deployments/delete",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Resources/subscriptions/resourceGroups/write",
"Microsoft.Resources/subscriptions/resourceGroups/delete",
"Microsoft.Storage/storageAccounts/delete",
"Microsoft.Storage/storageAccounts/listKeys/action",
"Microsoft.Storage/storageAccounts/read",
"Microsoft.Storage/storageAccounts/write",
"Microsoft.Resources/templateSpecs/read",
"Microsoft.Resources/templateSpecs/versions/read",
<!--NeedCopy-->

Qué hacer a continuación

Más información

Conexión con Microsoft Azure
January 30, 2024
Contribución de: 
C
January 30, 2024
Contribución de: 
C

En este artículo

Comentarios sobre el sitio | Condiciones legales y de privacidad | Preferencias de cookies | Parámetros de consentimiento | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.